ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения

ГОСТ Р 52069.0-2003

Группа Э02

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


Защита информации

СИСТЕМА СТАНДАРТОВ

Основные положения

Safety of information. System of standards. Basic principles

ОКС 01.040.01
ОКСТУ 0090

Дата введения 2004-01-01

Предисловие

1 РАЗРАБОТАН И ВНЕСЕН Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации, Техническим комитетом по стандартизации ТК 362 "Защита информации"

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 5 июня 2003 г. N 181-ст

3 ВВЕДЕН ВПЕРВЫЕ

1 Область применения

Настоящий стандарт устанавливает цель и задачи системы стандартов по защите информации, объекты стандартизации, структуру, состав и классификацию входящих в нее стандартов и правила их обозначения.

Положения настоящего стандарта являются рекомендуемыми при разработке нормативных документов по стандартизации в области защиты информации, независимо от организационно-правовой формы и формы собственности предприятия, учреждения, организации - разработчика стандарта, а также при организации работ по стандартизации в области защиты информации органами управления Российской Федерации.

Стандарт является основополагающим государственным стандартом Российской Федерации в области защиты информации.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты и классификаторы:

ГОСТ 1.0-92 Межгосударственная система стандартизации. Основные положения

ГОСТ 1.5-2001 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению

ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 30335-95/ГОСТ Р 50646-94 Услуги населению. Термины и определения

ГОСТ Р 1.0-92 Государственная система стандартизации Российской Федерации. Основные положения

ГОСТ Р 1.2-92 Государственная система стандартизации Российской Федерации. Порядок разработки государственных стандартов

ГОСТ Р 1.4-93 Государственная система стандартизации Российской Федерации. Стандарты отраслей, стандарты предприятий, стандарты научно-технических, инженерных обществ и других общественных объединений. Общие положения

ГОСТ Р 1.5-2002 Государственная система стандартизации Российской Федерации. Стандарты. Общие требования к построению, изложению, оформлению, содержанию и обозначению

ГОСТ Р 1.12-99 Государственная система стандартизации Российской Федерации. Стандартизация и смежные виды деятельности. Термины и определения

ГОСТ Р ИСО 9000-2001 Система менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

ГОСТ Р 50922-96 Защита информации. Основные термины и определения

ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ОК 002-93 Общероссийский классификатор услуг населению

ОК 003-99 Общероссийский классификатор информации по социальной защите населения

ОК 004-93 Общероссийский классификатор видов экономической деятельности, продукции и услуг

ОК 005-93 Общероссийский классификатор продукции

ОК 011-93 Общероссийский классификатор управленческой документации

3 Определения

В настоящем стандарте применяют следующие термины:

3.1 система стандартов по защите информации: Совокупность взаимосвязанных НД по стандартизации, устанавливающих нормы, правила и требования по ЗИ.

3.2 комплекс стандартов: По ГОСТ Р 1.12.

3.3 защита информации: По ГОСТ Р 50922.

3.4 защищаемая информация: По ГОСТ Р 50922.

3.5 объект стандартизации: По ГОСТ Р 1.12.

3.6 требование: По ГОСТ Р 1.12.

3.7 объект защиты информации: По ГОСТ Р 50922.

3.8 фактор, воздействующий на защищаемую информацию: По ГОСТ Р 51275.

3.9 продукция: По ГОСТ Р ИСО 9000.

3.10 технология: Система взаимосвязанных методов, способов, приемов предметной деятельности.

3.11 стандарт отрасли: По ГОСТ Р 1.12.

3.12 нормативный документ: По ГОСТ Р 1.12.

3.13 стандарт предприятия: По ГОСТ Р 1.12.

3.14 информационная технология: По ГОСТ 34.003.

3.15 услуга: По ГОСТ 30335.

3.16 процесс: Совокупность последовательных действий для достижения какого-либо результата.

3.17 жизненный цикл продукции: По Р 50.605-80 [1].

3.18 документ: Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

3.19 электронный документ: Документ, информация в котором представлена в электронно-цифровой форме.

3.20 техника защиты информации: По ГОСТ Р 50922.

3.21 средство защиты информации: По ГОСТ Р 50922.

3.22 средство контроля эффективности защиты информации: По ГОСТ Р 50922.

3.23 способ защиты информации: По ГОСТ Р 50922.

3.24 способ контроля эффективности защиты информации: По ГОСТ Р 50922.

3.25 качество: По ГОСТ Р ИСО 9000.

4 Сокращения

В настоящем стандарте применяют следующие сокращения:

ССЗИ - система стандартов по защите информации;

ЗИ - защита информации;

ОЗ - объект защиты информации;

СЗИ - средство защиты информации;

СКЭЗИ - средство контроля эффективности защиты информации;

ПЭМИ - побочные электромагнитные излучения;

НД - нормативный документ;

НТД системы ОТТ - нормативно-технический документ системы общих технических требований к вооружению и военной технике;

ВВТ - вооружение и военная техника;

СРПП - система разработки и постановки на производство;

ЕСПД - единая система программной документации;

ЕСТД - единая система технологической документации;

СНиП - строительные нормы и правила;

НСД - несанкционированный доступ;

НСВ - несанкционированное воздействие;

НПВ - непреднамеренное воздействие;

ЕКПС МО РФ - единый классификатор предметов снабжения Министерства обороны Российской Федерации;

НИР - научно-исследовательская работа;

ОКР - опытно-конструкторская работа.

5 Общие положения

5.1 ССЗИ является межотраслевой, общетехнической системой стандартов и разрабатывается в соответствии с программами и планами работ по стандартизации в области ЗИ.

Целью ССЗИ является упорядочение процесса создания взаимоувязанной, совокупности НД по ЗИ.

5.2 Основными задачами и направлениями работ по формированию и развитию ССЗИ являются:

- установление основополагающих принципов построения системы;

- обеспечение единства организационных и методических подходов к организации и обеспечению работ в области ЗИ;

- обеспечение терминологического взаимопонимания в области ЗИ;

- упорядочение системы требований по ЗИ, предъявляемых к различным видам ОЗ, и методов контроля выполнения этих требований;

- установление рациональных требований к технике ЗИ;

- оптимизация номенклатуры СЗИ и СКЭЗИ;

- установление рациональных требований к услугам по ЗИ;

- нормативное и техническое обеспечение испытаний, контроля, сертификации и оценки качества ОЗ, СЗИ и СКЭЗИ на соответствие требованиям по безопасности информации;

- сокращение затрат на проведение работ в области ЗИ;

- создание и ведение классификаторов в области ЗИ;

- установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.

5.3 Формирование ССЗИ осуществляют с учетом основных принципов стандартизации, регламентируемых ГОСТ Р 1.0, а также дополнительных:

- согласованность работ по стандартизации в области ЗИ на основе распределения и закрепления ответственности в данной области между ответственными федеральными органами исполнительной власти и организациями-участниками работ;

- системность в работах по стандартизации в области ЗИ, в том числе согласованность и непротиворечивость требований по ЗИ, взаимоувязанность НД по стандартизации в области ЗИ, исключение дублирования требований различных документов, обеспечение унификации требований по стандартизации;

- комплексность охвата взаимосвязанных объектов стандартизации в области ЗИ;

- использование единых систем классификации, идентификации, кодирования информации в области ЗИ.

5.4 Основными объектами стандартизации ССЗИ являются следующие группы:

- объекты защиты информации, включающие в себя подгруппы:

а) продукцию,

б) технологии,

в) процессы (работы),

г) объекты капитального строительства,

д) услуги,

е) документы;

- факторы, воздействующие на защищаемую информацию (носитель информации);

- технику ЗИ;

- процессы по ЗИ;

- услуги по ЗИ;

- технологии ЗИ;

- документы по ЗИ.

Указанные группы объектов стандартизации по ЗИ могут быть подразделены на классы и виды в соответствии с требованиями Единой системы классификации и кодирования технико-экономической и социальной информации Российской Федерации: ОК 002, ОК 003, ОК 004, ОК 005 и ОК 011. При этом используют иерархическую систему классификации. На каждой ступени классификации объекта деление осуществляют по классификационным признакам: назначение, область применения, вид носителя, а также с учетом отношений вида "часть - целое", "причина - следствие". Классификация объекта может быть завершена на различных ступенях классификационного деления, в зависимости от решаемых задач по стандартизации в области ЗИ и категории стандарта. Фрагмент классификации объектов стандартизации по ЗИ представлен в приложении А.

Взаимосвязь объектов стандартизации ССЗИ с требованиями, которые предъявляются к ним, представлена в приложении Б.

5.5 ССЗИ может включать в себя следующие НД по стандартизации:

- регламенты;

- стандарты;

- правила, нормы и рекомендации по стандартизации;

- общероссийские классификаторы технико-экономической информации.

Кроме перечисленных выше документов в систему могут входить НТД системы ОТТ.

5.6 В зависимости от объекта стандартизации в области ЗИ и требований, предъявляемых к нему, устанавливают стандарты следующих видов:

- основополагающие;

- на продукцию;

- на процессы;

- на технологию, включая в том числе информационные технологии;

- на услуги;

- на методы контроля;

- на документацию;

- на термины и определения.

5.7 Стандарты по ЗИ подразделяют на следующие категории:

- международные;

- межгосударственные;

- государственные стандарты Российской Федерации, оформленные на основе аутентичного текста международного стандарта;

- государственные стандарты Российской Федерации;

- государственные военные стандарты Российской Федерации;

- стандарты отраслей, в том числе и на оборонную продукцию;

- стандарты предприятий.

5.8 Международные и межгосударственные стандарты по ЗИ применяют в установленном нормативными актами порядке.

5.9 Государственные стандарты по ЗИ разрабатываются на объекты стандартизации межотраслевого значения, в том числе и на оборонную продукцию, в целях систематизации и упорядочения требований, предъявляемых к объектам, и не должны противоречить законодательству Российской Федерации.

5.10 Стандарты отраслей и предприятий по ЗИ разрабатываются и принимаются федеральными органами исполнительной власти в пределах их компетенции применительно к объектам стандартизации отраслевого значения, в том числе и к оборонной продукции.

5.11 Общероссийские классификаторы устанавливают классификацию информации о технике ЗИ, услугах, технологиях, процессах и документах по ЗИ с присвоением ей единых кодовых обозначений, которая используется в процессе функционирования Государственной системы защиты информации.

5.12 НТД системы ОТТ устанавливают состав и показатели общих тактико-технических требований по ЗИ к видам систем и комплексов (образцов) ВВТ, общих требований к методам контроля выполнения этих требований, а также общие тактико-технические требования к средствам ЗИ (СКЭЗИ) и общие требования к методам их государственных испытаний.

5.13 НД по ЗИ разрабатывают, принимают, пересматривают, вносят изменения или отменяют по ГОСТ Р 1.2, а стандарты отраслей и предприятий - по ГОСТ Р 1.4.

5.14 Оформление и содержание НД по ЗИ должны соответствовать требованиям ГОСТ 1.5, ГОСТ Р 1.2, ГОСТ Р 1.5 и Р 50.1.039 [2].

5.15 ССЗИ должна быть взаимоувязана со стандартами других систем и комплексов стандартов, например СРПП, ЕСПД, информационных технологий и др.

6 Структура, состав, классификация и обозначения НД по стандартизации в области ЗИ

6.1 Структура ССЗИ определяется двумя основными признаками - объектами стандартизации и требованиями по стандартизации, предъявляемыми к этим объектам. Для уточнения этих признаков могут вводиться два дополнительных признака - виды деятельности в области ЗИ и виды защищаемой информации.

6.2 В зависимости от объекта стандартизации и предъявляемых к нему требований ССЗИ включает в себя следующие подсистемы:

- комплекс стандартов, устанавливающих общие требования к системе стандартов по ЗИ;

- комплекс стандартов, устанавливающих требования по классификации и терминологии в области ЗИ;

- комплекс стандартов, устанавливающих общие технические требования по ЗИ к объектам ЗИ;

- комплекс стандартов, устанавливающих общие технические требования к технике ЗИ;

- комплекс стандартов, устанавливающих общие технические требования к процессам по ЗИ;

- комплекс стандартов, устанавливающих общие технические требования к услугам по ЗИ;

- комплекс стандартов, устанавливающих общие технические требования к технологиям ЗИ;

- комплекс стандартов, устанавливающих общие требования к документам по ЗИ;

6.3 Подсистема "Комплекс стандартов, устанавливающих общие требования к системе стандартов по ЗИ" регламентирует следующие вопросы:

- общие организационно-технические правила по стандартизации в области ЗИ;

- порядок организации работ по стандартизации в области ЗИ.

6.4 Подсистема "Комплекс стандартов, устанавливающих требования по классификации и терминологии в области ЗИ" регламентирует следующие вопросы:

- принципы, методы классификации и кодирования информации, используемой в области ЗИ;

- классификаторы для различных объектов стандартизации по ЗИ;

- научно-технические термины, применяемые в области ЗИ.

6.5 Подсистема "Комплекс стандартов, устанавливающих общие технические требования по ЗИ к объектам ЗИ" регламентирует следующие вопросы:

- общие технические требования по ЗИ, предъявляемые к различным объектам защиты, в том числе и типовые требования к информационным технологиям (профили защиты - по ГОСТ Р ИСО/МЭК 15408-1), на всех стадиях их жизненного цикла;

- методы контроля (проверки) выполнения этих требований.

6.6 Подсистема "Комплекс стандартов, устанавливающих общие технические требования к технике ЗИ" регламентирует следующие вопросы:

- показатели качества техники ЗИ на всех стадиях ее жизненного цикла;

- методы оценки показателей качества техники ЗИ;

- параметрические ряды СЗИ и СКЭЗИ;

- общие технические условия, предъявляемые к группам однородных СЗИ и СКЭЗИ;

- технические условия, предъявляемые к конкретным СЗИ и СКЭЗИ;

- методы контроля (проверки) выполнения требований и методы испытаний СЗИ и СКЭЗИ;

- правила приемки, маркировки, упаковки, транспортирования, хранения и утилизации.

6.7 Подсистема "Комплекс стандартов, устанавливающих общие технические требования к процессам по ЗИ" регламентирует следующие вопросы:

- номенклатуру типовых процессов по ЗИ, включающую контроль, управление, координацию и т.п.;

- номенклатуру типовых процессов контроля эффективности ЗИ;

- технические требования, предъявляемые к процессам по ЗИ различных видов;

- технические требования, предъявляемые к контролю эффективности ЗИ различных видов;

- методы контроля (проверки) выполнения требований.

6.8 Подсистема "Комплекс стандартов, устанавливающих общие технические требования к услугам по ЗИ" регламентирует следующие вопросы:

- номенклатуру услуг по ЗИ;

- общие технические условия, предъявляемые к группам однородных услуг по ЗИ;

- технические условия, предъявляемые к конкретным видам услуг по ЗИ;

- требования к персоналу;

- требования к процессам оказания услуг по ЗИ;

- требования к результатам оказания услуг по ЗИ;

- методы оценки результатов услуг по ЗИ.

6.9 Подсистема "Комплекс стандартов, устанавливающих общие технические требования к технологиям ЗИ" регламентирует следующие вопросы:

- номенклатуру технологий ЗИ;

- номенклатуру способов ЗИ и контроля эффективности ЗИ;

- общие технические требования, предъявляемые к различным видам технологий ЗИ;

- методы оценки эффективности ЗИ;

- методы контроля (проверки) выполнения требований, предъявляемых к различным видам технологий ЗИ.

6.10 Подсистема "Комплекс стандартов, устанавливающих общие требования к документам по ЗИ" регламентирует следующие вопросы:

- номенклатуру документов по ЗИ;

- общие требования к содержанию и оформлению документов по ЗИ;

- методы контроля (проверки) выполнения требований.

6.11 Потребный состав стандартов по ЗИ, включаемых в подсистемы ССЗИ, определяется ролью и местом стандартизации в области ЗИ в общей системе НД по ЗИ, номенклатурой объектов стандартизации в области ЗИ, предъявляемыми к ним требованиями, а также экономической целесообразностью разработки стандартов.

6.12 Структура регистрационного номера ССЗИ включает в себя:

- обозначение категории стандарта (ГОСТ, ГОСТ Р, ГОСТ РВ);

- регистрационный номер системы стандартов по защите информации (пять разрядов);

- порядковый номер стандарта в системе стандартов по защите информации.

Примечание - Порядковый номер "0" присваивают ГОСТ Р ХХХХХ.0-2003 "Защита информации. Система стандартов. Основные положения".

Примеры регистрационных номеров стандартов в ССЗИ:

1 ГОСТ ХХХХХ.Х... - 20ХХ;

2 ГОСТ Р ХХХХХ.Х... - 20ХХ;

3 ГОСТ РВ ХХХХХ.Х... - 20ХХ.

ПРИЛОЖЕНИЕ А
(справочное)

Фрагмент классификации объектов стандартизации по ЗИ

ПРИЛОЖЕНИЕ Б
(справочное)

Взаимосвязь объектов стандартизации системы стандартов по ЗИ
с требованиями, предъявляемыми к ним

ПРИЛОЖЕНИЕ В
(справочное)

Библиография

Текст документа сверен по:

М.: ИПК Издательство стандартов, 2003